METAN VARJOLLA RAKENNETTU ANSAKIRJE

Metan nimen varjolla on lähetetty useita kirjeitä joissa on runsaasti outoja linkkejä MUTTA ainakin yksi linkeistä vie verkkorikollisen ansaan. Linkki on arvioitu useassa virustorjuntaohjelmassa VAARALLISEKSI. 

Seuraavana virustirjuntaohjelmien satoa:

VAARALLINEN LINKKI: "https://shorten. world/sZlaT" (linkki on piiloon lyhennetty. Todellista määränpäätä ei näy)

Virustorjuntaohjelmat kertovat:

ScamAdviser

Domain Scam Score
Suspicious (70%)

CleanDNS
lleged Domain Abuse Reports
Suspicious (15 Reports)

Vipre
URL Score Malicious (100%)

--------------------------------KIRJE-----------------------------------

Lähetysosoite "appsheet. com" on Googlen "no code" sovelluskehitin, eli kuka tahansa osaa ja voi tehdä tällä appilla esimerkiksi "verkkoansoja".

Olen useamman kerran moittinut näitä verkon "supertoimijoita" verkkorikollisuutta suosivista systeemeistään. Mitään ei tapahdu, ellei joku kansaenvälinen, riittävät hartiat omaava instanssi puutu tähän peliin.
Meta esimerkiksi tienaa erinomaisen mahtavasti verkkorikollisten maksamilla mainosrahoilla. Mainosten kautta taas kalastetaan rahat pahaa-aavistamattomilta, sosiaalisen median ja muun verkkosisällön käyttäjiltä. Jos tällaista toimintaa harrastettaisiin verkon ulkopuolella, se olisi rikollisuutta myös näiltä rikollisuuden mahdostajilta.

SUOMI FI ANSAT JATKUVAT

Ilmeisesti verkkorikolliset ovat todenneet SUOMI. FI ansat tuottoisiksi, koska postittelevat jatkuvasti näitä.

MUISTAKAA, että suomi. fi palveluun tai pankkien sivuille EI saa koskaan mennä e-mail linkkien kautta . Tämänkin linkin alkuosa näyttäisi oikealta mutta suluissa oleva toinen linkki onkin se, jonne klikkaus sinut veisi, eli verkkorikollisen ansaan. 

Tämä kirje on onneksi melko tökerö mutta ilmeisesti tähänkin on joku onneton saatu klikkaamaan.

Lähetysosoite "GAMEDETA", tai "Gloudigng. io" tai "gamedetailsioads. nl"  EI OLE suomi. fi. EIKÄ yksikään näistä osoitteista vie "suomi. fi" palveluun.

----------------------------------------KIRJE-------------------------------------------

OUTO KIRJE GOOGLELTA

Tämä kirje herätti useita kysymyksiä, joten en koskenut sen linkkeihin, vaikka kaikki osoittet näyttivät olevan Googlen alkuperää.

SILTI:
Miksi Google lähettäisi minulle sähköpostia muuhun, kuin gmail osoitteeseeni, joka siis on Googlen oma palvelu? Minulla olisi ollut Gmail-tilikin.

Lähettänyt osoite on Googlen mutta domain (nimi) on verkon mustalla listalla.
On DNS Blacklist. Checked 20 DNSBL listings Yes
Eli miten ja miksi Googlen osoite löytyy mustalta listalta?

DNSBL (eli Domain Name System Blocklist tai Blacklist) on järjestelmä, jota sähköpostipalvelimet käyttävät roskapostin suodattamiseen tarkistamalla lähettäjän IP-osoitteen maine reaaliajassa (lähde Google AI).
 Tämä osoittaa, että ei edes Googlen omaan postiin voi enää luottaa.

-----------------------------------KIRJE----------------------------------

LAINATARJOUS JOKA ON ANSA

Netissä ja sähköposteissa olevat lainatarjoukset ovat huijauksia, joilla kalastellaan henkilötietosi verkkorikosta varten. Hanki lainasi turvallisemmista lähteistä.

"GMAIL.COM" osoite EI OLE LUOTETTAVAN RAHOITTAJAN SÄHKÖPOSTITUNNUS.
Muutkaan ilmaisosoitteet eivät rakenna luottamusta rahaa tarjoaviin toimijoihin. Nämä ovat huijauskirjeitä.

Linkin osoite on virustorjunnassa todettu VAARALLISEKSI:
Vipre URL Score Malicious (100%) 
Falcon Sandbox virustorjunta kertoo: "Malicious domain detected. Details: SUBMITTED URL: "https://cvccredit. net/" contacted related malicious domain: "cvccredit. net"

---------------------------------------KIRJE-----------------------------------------------

PANKKITIETOVARKAUS NORDEAN NIMISSÄ

Pankin nimissä tapahtuvista pankkitietovarkauksista varoitetaan jatkuvasti, eikä turhaan. Näitä on liikkeellä erittäin runsaasti kaikkien pankkien nimillä.

"@tuki-2026. fi" ei ole Nordean osoite. Lähettäjä ei siis ole Nordea.
Linkin osoite veisi eestiläiselle koneelle ".es".
"PHP" linkin kopussa kertoo, että linkin päässä on palvelinohjelma, jolla pankkikirjautumistietosi varastetaan ja pankkitilisi tyhjennetään.

------------------------------------KIRJE--------------------------------------

EDELLISEN HUIJAUSKIRJEEN KOPIO ERI AIHEELLA

Tämä sama huijari lähettelee nyt sarjahuijauskirjeitä ahkerasti. Kuvio edellisten kanssa on sama liitteineen. Sama olematon lähettäjäosoite "fast-hosting. pics" ja vieras vastaanottajaosoite. Suomen maatunnus  ".fi" ei takaa viestin olevan Suomesta. Kaikki virustarkistusraportit toistavat edellisen kirjeen osoitteiden vaarallisuutta. ÄLÄ KOSKE LIITTEISIINKÄÄN!

Kirjeen alapuolelle olen kopioinut virustarkistusraportit oleellisilta osin.

--------------------------------KIRJE----------------------------------

LÄHETYSOSOITE

Original-Sender: yvxeszy@fast-hosting.  pics 

ScamAdviser (virustorjunta)

Domain Scam Score

Unsure (14%)

KIRJEESSÄ OLEVA LINKKI

https://cp.art-host. cc/RUTXHf/ analysoidaan

Vipre URL Score

Malicious (100%)

Löytyi kone IP joka osoitti (muiden osoitteiden muassa) venäläiselle koneelle:

person:         Anton G Semenov

address:        Internet-Cosmos Ltd.

address:        Nijnyaya Krasnoselskaya str.,39

address:        105066, Moscow

address:        Russia

EDELLINEN SAMAN HUIJARIN NKIRJE
https://vaarallinenweb.blogspot.com/2026/05/taman-kirjeen-linkin-kautta-rahasikin.html

TÄMÄN KIRJEEN KAUTTA RAHASIKIN KATOAVAT

Uusi huijaustyyppi mutta sama vanha kaava. Tälle huijarille löytyisi oma "tyyppiryhmä", eli viestien "käsiala" on sama. Taustalta löytyy venäläinen kone.

Vastaanottajan kohdalla on varastettu sp-osoite, joka on tulkittavissa identiteettivarkaudeksi. 
Lähettäjäosoitetta ei ole olemassa.  LIITTEISIIN EI SAA KOSKEA (oletettavissa on, että koneellesi saapuisi virus)

"unsubscribe" linkki vie rikollisen koneelle. Tarkempi kuvaus on kuvan alapuolella.

-----------------------------------KIRJE--------------------------------------

"fast-hosting. pics" osoitetta EI OLE OLEMASSA

VIRUSTORJUNNAN ANALYYSIN TULOKSIA 

  0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or identical to

                             background (teksti on samanvärinen kuin tausta = tekstiä on piilossa)

  

  0.0 AC_BR_BONANZA  RAW: Too many newlines in a row... spammy template
(roskapostille tunnusomaista)

  0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Spam that has large block of empty lines

(kirjeessä on runsaasti tarpeetonta tyhjää tilaa)

LINKKIOSOITE ANALYSOITUNA

https://cp.art-host. cc/RUTXHf/ analysoidaan

Vipre virusttorjunnalla URL Score

Malicious (100%) (VAARALLINEN)
(VAARALLINEN - .cc on kookossarten maatunnus, jota verkkorikolliset käyttävät)

Linkin takaa löytyi myös kone IP joka osoitti (muiden osoitteiden seassa) venäläiselle koneelle:

person: Anton G Semenov

address: Internet-Cosmos Ltd.

address: 105066, Moscow

address:  Russia

FACEBOOK HUIJARI ON JÄLLEEN LIIKKEELLÄ

Kaikki sosiaalisen median alustat vilisevät verkkorikollisten ansoja ja tilien jatkuvaa hakkerointia.
Tämä seuraava esimerkki kertoo tositapauksen FaceBookista.

Olen poistanut tunnistettavissa olevia nimiä, koska ne eivät ole oleellisia tapauksessa.
Sulkujen sisällä olevat kurssivoidut tekstit ovat omia lisäyksiäni.

---------------------------------TAPAUSKUVAUS------------------------------------------

Meta poisti FB-tilini kuuntelematta vastalauseitani. (Meta ei kuuntele rehellisten asiakkaittensa valituksia, koska nuo viheliäiset verkkorikolliset tuovat Metalle rahaa ja raha ei tunnetusti haise).
Tilanne nimittäin kiertyy jotenkin Nxxxxxn, mutta mennään järjestyksessä. 

Syy tilin poistamiseen oli mukamas se, että olin yrittänyt julkaista sopimatonta sisältöä. (Tämä on se yleisin tekosyy)  Avuksi oli laitettu linkki, jonka kautta näki, mikä kaikki on sopimatonta. (Rikollisen tuottamaa aineistoa) En tiedä keskustelinko tässä vaiheessa Metan vai huijarin kanssa, mutta seuraavaksi minua vaadittiin todistamaan, että olen täysi-ikäinen (!?!).  (Keskustelit huijarin kanssa) Todisteeksi olisi pitänyt skannata kuvallinen henkilökortti, jonka tietoja olisi käytetty ainoastaan ja vain tämän asian toteamiseen (Tätä ei saa tehdä missään tapauksessa, tällaisissa yhteyksissä) - tietoja ei olisi jaettu millekään muulle osapuolelle ja ne hävitettäisiin 30 vrk kuluttua. Nyt alkoivat kellot niin vahvasti soida, että lopetin proseduurin siihen. (Oikea menettelytapa). Tili "sammui" saman tien, vaikka ensin oli annettu aikaa 24 h, ja sitä ennen jopa 180 vrk aikaa selvittää tilannetta. (Mieluummin, antaa tilin sammua, kuin luovuttaa tärkeitä henkilötietoja verkkorikollisellle).

Itse tiesin, etten todellakaan ollut postaillut mitään sopimatonta, mutta sitten asia alkoi selvitä toista kautta. En enää muista, oliko se samana vai seuraavana päivänä, mutta Pxxxlta tuli viesti (23.4.), että Nxxxx-Muistoista (Henkilö oli Nxxxxn moderaattori) oli löytynyt jotain outoa. Eli syy epäsiveelliseen tekooni (kuva alla). En ollut käynyt millään Nxxxxn sivuilla viikkoihin, mutta jossain on ollut aukko, josta hakkeri pääsi sisään ja sotkemaan minun asiani.
Kysymykseni kuuluu: pystyisitkö sinä mitenkään selvittämään tämän hakkerin reittiä - tai onko se edes tarpeen, kun vahinko on jo tapahtunut? Vai "vuotaako" Nxxxx-tili jostain, että näin on mahdollista tapahtua? (Ainoa taho, joka pystyisi selvittämään mistä verkkorikollinen oli päässyt tunkeutumaan vieraalle tilille ja FB:n väliin, on Meta).

Sinne lensivät bittiavaruuteen 17 vuoden keskustelut ja 750 kaveria läheltä ja kaukaa - osa sai kyllä lähteäkin. Lensin tietenkin ulos kaikista ryhmistä, ja esim. kaikki XXX:n (ja myös bändien) sivuilla julkaisemani videot hävisivät. Ovat onneksi tallessa ulkoisilla kovalevyillä, mutta bändien puolesta ottaa pannuun ja pahasti. (BackUpit tärkeistä tiedostoista on aina syytä säilyttää jossain muuallakin kuin verkkopalveluissa. Järkevästi toimittu).

Vielä jossain vaiheessa sisältö oli mahdollista saada talteen - kone latasikin sitä tuntikausia, mutta sitten taisi loppua C-levyltä tila, sillä aineisto hävisi... (Nyt olisi hyvä vaihtaa FB:ssä käytetyt sähköpostiosoitteet ja ajaa tuossa koneessa läpi hyvä virustorjuntaohjelma. Sellainen, jossa on myös verkkovierailujen monitorointiominaisuus ja pankkiyhteysturva).

Nyt sitten harmittaa sekin, ettei tullut koskaan otettua talteen noita kaverilistoja tai ryhmiä, joihin kuuluin. Pitää edetä sokkona ja valita niistä, mitä FB nyt tarjoaa. Ja kaivella muistiaan. Osasta ihmisiä FB väittää, että emme tunne toisiamme ja että pitää lähestyä itse suoraan viestillä. No, se ei ole ongelma. (Sosiaalinen media on nykyään "kestävyyslaji").

(Kuvakaappaus viestistä)

SUOMI FI HUIJAUKSIA ON RUNSAASTI LIIKKEELLÄ

Nämä Suomi fi huijaukset on helppo tunnistaa.

1) LÄHETYSOSOITE EI OLE "suomi .fi"! 
2) Vastaanottaja ei voi, tässä tapauksessa, olla suomi .fi. Jos kirje olisi aito, siinä olisi sinun osoitteesi.
3) Kirjeen linkkiosoitteet veisivät ihan muualle, kuin suomi .fi palveluun. Linkki kulkee apis.google .com in kautta verkkorikollisen piilo-osoitteeseen.
4) Viesti on sekava ja kirjoitusasu ei vastaa suomen viranomaispalvelujen tasoa.

Samankaltaisia "valeviranomaikirjeitä" saapuu nyt tiuhan. Katso aivan ensiksi lähetysosoite!
Se ei ole tuo sininen "otsaketeksti", vaan sen perässä oleva sähköpostiosoite.

----------------------------------KIRJE---------------------------------

HUOMAA TÄMÄ ULOSOTTOLAITOSTA JA SUOMI .FI PALVELUA KOSKEVA UUTINEN 
ASIOI AINA VAROEN SUOMI .FI PALVELUN KAUTTA. KIRJOITA ITSE SELAIMEN KENTTÄÄN SUOMI .FI OSOITE, ÄLÄ KLIKKAA MITÄÄN LINKKEJÄ!

https://www.ulosottolaitos.fi/ajankohtaista/tiedote-ja-uutisarkisto/ulosottolaitos-ei-laheta-kirjepostia-suomi-fi-viestien-kayttajille-kayttoosi-tulee-tunnistautumisen-yhteydessa-sahkoinen-postilaatikko/

TITAANINEN LEIKKUULAUTA - HUIJAUS

 

Nettihuijari ei osaa koodata "scandeja". 

Kirje perustuu kahdelle suurelle "png" -kuvalle, joita en anna selaimeni näyttää mahdollisen haitan vuoksi.

Vipre Virustorjunta (Malicious (100%)) sekä Falcon Sandbox virustorjunta varoittavat kirjeessä olevasta linkistä. 

"Havaittu verkkoliikennettä yleisesti väärinkäytetylle verkkotunnukselle. Tiedot:

Verkkotunnus: "cp.art-host. cc" on mahdollisesti korkean riskin indikaattori. Verkkotunnus käyttää ylätason verkkotunnusta (TLD = .cc), jota yleisesti väärinkäytetään haitallisiin tarkoituksiin.

Yleisesti väärinkäytettäviä ylätason verkkotunnuksia (TLD) käyttäviä verkkotunnuksia käytetään usein tietojenkalasteluun, haittaohjelmien levittämiseen ja brändien imitointiin, erityisesti koska kyberrikolliset hyödyntävät edullisia tai ilmaisia  rekisteröintikäytäntöjä.

Korkeimmat riskisuhteet: Verkkotunnuksia, joilla on korkein haitallisen toiminnan prosenttiosuus suhteessa kokonaisrekisteröinteihin, ovat .world, .monster, .help, .cfd ja .lol.

Maakoodien ylätason verkkotunnukset (ccTLD): Suurimman haitallisen rekisteröinnin riskin omaavia ccTLD-verkkotunnuksia ovat .cc (Kookossaaret), .ru (Venäjä), .us (Yhdysvallat), .co (Kolumbia) ja .de (Saksa)."